Quali trattamenti sono soggetti a una valutazione d’impatto sulla protezione dei dati?

La valutazione d’impatto sulla protezione dei dati, in acronimo DPIA, è un processo che attuato dai Titolari del trattamento atto a descrive il trattamento dei dati personali al fine di valutarne la necessità e la proporzionalità. Questo è proposto per contribuire nella gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. La DPIA, come ben si comprende, è necessaria al fine di evitare che gli utenti non siano informati sui rischi che stanno assumendo utilizzando un determinato prodotto online, rischi che, peraltro, possono poi sfociare in danni alla privacy ed alla reputazione online.

Le linee guida del Garante Privacy italiano operano una lunga disamina sul punto, di talché vengono chiariti punti nevralgici della disciplina quali: chi sono i soggetti a cui si riferiscono, cosa esamina una valutazione d’impatto sulla protezione dei dati etc.

Nell’articolo andremo ad esaminare, data anche il quasi silenzio del DDPR in merito, un altro punto della valutazione, cioè sono i trattamenti che sono soggetti ad una simile valutazione di impatto sui dati personali secondo le linee guida del Garante.

La DPIA obbligatoria, alto rischio

Il GDPR non richiede la realizzazione di una valutazione d’impatto sulla protezione dei dati per tutti i trattamenti che possono presentare rischi per i diritti e le libertà delle persone fisiche. Invero, la realizzazione di una valutazione d’impatto sulla protezione dei dati diviene obbligatoria allorquando il trattamento, a norma dell’art. 35 par 1 del Regolamento, “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Dunque la sua realizzazione è importante laddove venga avviata una nuova tecnologia di trattamento dei dati.

La DPIA obbligatoria nei casi dubbi

Nei casi in cui non è chiaro se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno, le linee guida del Garante Privacy raccomandano comunque di effettuare la valutazione, poiché la stessa, come anticipato, equivale ad uno strumento molto prezioso per la tutela della privacy e della sicurezza web degli utenti.

Lo schema dell’art. 35 GDPR

Sebbene i casi che ora andremo ad elencare non sono tassativi, poiché potrebbero comunque esserci operazioni di trattamento a “rischio elevato che non trovano collocazione nell’elenco di seguito ma che presentano tuttavia rischi altrettanto elevati; il GDPR al’art. 35 fornisce comunque alcuni esempi in cui è necessario operare una valutazione di impatto sui dati personali:

 “- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente suddette persone fisiche;

– il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; 

– la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

I 9 criteri per capire se un trattamento presenta un rischio elevato

I 9 criteri per valutare il rischio elevati di un trattamento vengono desunti per lo più dalle stesse norme del GDPR e dalla prassi formatasi sul punto.

-Valutazione o assegnazione di un punteggio “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”, ai sensi dell’art. 71 e 91; un esempio: un ente finanziario che esamina i suoi clienti rispetto a una banca dati di riferimento in materia di crediti;

– processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente; ad esempio il trattamento può portare all’esclusione o alla discriminazione nei confronti delle persone;

– monitoraggio sistematico, vale a dire quando il trattamento viene usato per monitorare o controllare gli interessati, compresi i dati raccolti tramite reti o, a norma dell’art 35,  “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”;

– dati sensibili o dati aventi carattere altamente personale, vengono incluse le categorie di dati personali definite dall’art. 9, come ad esempio informazioni sulle opinioni politiche delle persone, dati relativi a condanne penali etc.

-trattamento di dati su larga scala; sebbene non viene data una definizione del lemma larga scala la prassi è quella di ritenere che la stessa possa essere inclusa calcolando il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata dell’attività di trattamento ed infine la portata geografica dell’attività di trattamento;

– creazione di corrispondenze o combinazione di insiemi di dati;

– dati relativi a interessati vulnerabili, nel senso di tutelare tutti gli squilibri di potere che possano presentarsi tra il Titolare del trattamento ed i fruitori dello stesso;

–  uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, ad esempio la ormai sempre più usata combinazione dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici;

– infine, bisogna capire se quel trattamento “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” ai sensi dell’art. 22 GDPR. Questo ultimo fattore include i trattamenti che mirano a consentire, modificare o rifiutare l’accesso agli interessati di un servizio ovvero alla stipula di un contratto.

Vero è, in alcuni casi, un Titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda una valutazione d’impatto sulla protezione dei dati poiché ha un rischio elevato per la privacy degli utenti. La valutazione appena considerata è anche molto utile al fine di prevenire i comportamenti degli utenti in ordine alle manovre per la cancellazione o la rimozione delle notizie, che violano il Regolamento sulla privacy, ma che sono comunque in rete e scompensano la vita dello stesso in relazione alla sua reputazione.